数据抓包分析对互联时代技术人员有何价值？

ylky_2000

我得先承认我是it行业的屌丝，一般很少购买软件来使用，要使用第一个想到的是开源的软件。于是很自然就知道了wireshark，习惯我叫它鲨鱼。
关于今天要讨论的两点，我根据平时工作的体会简单的谈谈感想，也顺道学习下其他同行的经验。
1、说说你的抓包体验，在抓包时遇到的最大困惑与收获分别都是什么？
   我以前用过的工具有：
  1）sniffer pro记得好像是4.7版本的，感觉相当专业，基本上你能想到的协议都有支持；不过要钱的东西，安装了一个破解版，用起来感觉不踏实，安装过程也很繁琐，尤其是重装系统的时候；
2）tcpdump，这个在linux系统下用的最多，支持windows吗，这个没有研究过。都是利用命令行的方式生成wireshark能读的懂的包，然后在wireshark中打开分析，曾经分析sip语音系统的时候利用tcpdump结合wireshark的时候用过，大体是tcpdump+winscp+wireshark配合进行抓包分析，网上有这样的案例大家可参考；
3）科来协议分析系统，我使用的是50个点限制的交流版，所以功能方面很多有限制，这是咱们中国人自己的分析系统感觉还是很不错，界面友好，适合中国人的使用习惯，他们的商业版没有使用过，具体不是很了解，期待其他使用过的人分享；
4）wireshark就是今天要讲的重点了。感觉很好，我电脑中就安装了两个类似的软件，一个是wireshark（Version 1.4.3 (SVN Rev 35482 from /trunk-1.4)），另外一个是科来分析系统交流版。已经养成习惯了，不过由于我水平有限，有种好刀给到了我却不知道如何充分发挥它的最大用途的感觉。就解决实际问题上我主要使用两个。1个是用来分析sip语音系统拨号问题，由于sip服务器是linux系统，所以先再linux系统中使用tcpdump抓包然后通过winscp传到windows电脑中，再用wireshark分析。这里就体现优势了，wireshark比tcpdump友好多了。。另外一个是当发现内网网络反应很慢的时候，利用wireshark抓包分析下，看是哪些流量占据了带宽，我用这个方法解决过两次问题，迅速定位到了问题主机，在很强势的用户部门面前我拿到了证据让他们心服口服。
其他的一些也有接触过，但是接触时间短，仅仅限于测试，没有很深入的使用，就不发表感想了。

2、哪类工具用的最多，tcpdump,wireshark或者其它？为什么？
wireshark我所看重的功能：
1)能自定义显示字段；界面默认列出来的就那么几列（如源地址、目的地址），但是我需要的信息不止那些，可以将更多的信息列出来，
2）支持无线，这个随着公司网络的发展未来肯定需要；
与商业软件比较：
1）无成本：开源，用起来放心，；
2）全体使用者都是支持团队：并有专业的支持团队，软件系统不停的在更新升级，支持的协议不断的在增多，商业软件的支持团队可能就是某一个公司，他们有商业方面的逐利考虑，不一定会吧用户的真实需求放在第一位；
3）缺点：图形方面的展示没有sniffer友好，直观；希望加强。

前面已经有不少同行谈过了，暂时谈这些个人的体会吧，，
  最近又接触了一款协议分析工具。iris工具，是网络流量分析监测工具 可以帮助系统管理员轻易地捕获和察看用户的使用情况，可以同时检测到进入和发出的信息流，会自动进行存储和统计偏于察看和管理。暂时先是也弄个它作为分析几个协议看看，目前还没有深入了解，从界面上看，比wireshark要简单，功能也没有那么多。有该工具使用说明：http://wenku.baidu.com/view/f9c62bd449649b6648d74742.html

lsstarboy

1、说说你的抓包体验，在抓包时遇到的最大困惑与收获分别都是什么？
抓包可以学到很多东西，特别是网络协议之类的东西，但这也是抓包中最难的部分，普通的协议像http还好一些，其他一些私用协议和加密的东西就比较难处理。
目前比较麻烦的是怎么样在大流量的情况下抓包，大流量下一方面抓包影响网络性能，另一方面数据包太多，在没有用镜像功能的交换机时，这是比较麻烦的。

2、哪类工具用的最多，tcpdump,wireshark或者其它？为什么？
抓包tcpdump用的最多，但是tcpdump解决一些小问题有优势，数据包多的话是用wireshark来比较方便，原来omni出的一款抓包工具也非常优秀，比wireshark小，但是性能和使用起来都比wireshark顺手，只是这几年没更新了，不支持新协议和新网卡，也只能用在windows下。


3、你觉得抓包分析是一项必要的工作技能吗？为什么？
毫无疑问，抓包是运维的必备技能，不会抓包的运维绝对不是好运维。很多疑难的网络故障就要靠抓包来解决。比如最常见的arp欺骗和广播风暴，不用抓包的话很难快速定位故障机器。还有一些网线或光纤接触不好的故障，不抓包也很难分析出来。
我遇到一个疑难的故障：两个单位之间互联，网线测试都没问题，就是不通。经过抓包，发现其他单位的ping请求都伴随着arp查询，而不是走的路由，马上就定位为掩码不对，经排查，确实是路由器上的掩码出现失误。这种只有抓包才能快速地找出原因。

流氓无产者

还用问，一定得会啊，边学边用

伟姐

回复 2# action08


    你通常会抓取分析那方面的数据包呢？

伟姐

回复 3# bj161109


    哪类工具用的最多，tcpdump,wireshark或者其它？为什么？

Tcpdump工具是一款不错的命令行抓包工具。虽然没有图形界面，但是支持各种的过滤器，可以帮助用户捕获数据包。

伟姐

回复 4# forgaoqiang


   

伟姐

回复 5# realmon


    还有Tcpdump，该工具还可以使用各种的捕获过滤器。

伟姐

回复 6# donalds2008


    TCPdump工具还可以在Android下运行，例如，手机。这样，还可以对手机上的数据包进行捕获，并分析设备的安全性。

伟姐

回复 7# heguangwu


    还有一款类似Wireshark的抓包工具Sniffer也不错。

伟姐

回复 8# qingduo04